谷歌 Project Zero 研究人員在GitHub中發(fā)現(xiàn)了一個高危安全漏洞，并在7月21日提交了GitHub，按照谷歌Project Zero 90天的漏洞公開計劃公開漏洞的時間為10月18日。

[[350918]]

漏洞概述

漏洞位于GitHub的開發(fā)者工作流自動化工具Actions 特征中。根據(jù)GitHub 文檔，在 GitHub Actions 的倉庫中自動化、自定義和執(zhí)行軟件開發(fā)工作流程，可以發(fā)現(xiàn)、創(chuàng)建和共享操作以執(zhí)行您喜歡的任何作業(yè)(包括 CI/CD)，并將操作合并到完全自定義的工作流程中。

Github Actions 支持一個名為workflow commands的特征，這是Action runner和執(zhí)行action的通信信道。Workflow commands 在runner/src/Runner.Worker/ActionCommandManager.cs 中實現(xiàn)，通過分析所有尋找2個命令maker的執(zhí)行的action的STDOUT來工作。

該特征的一大問題是極易受到注入攻擊的威脅。Runner進程在分析尋找workflow command的打印到STDOUT的每行時，每個打印不可信內(nèi)容的GitHub action都易受到攻擊。在大多數(shù)情況下，如果能夠設(shè)置任意的環(huán)境變量，當(dāng)另一個workflow執(zhí)行時就會引發(fā)遠程代碼執(zhí)行。

時間軸

10月1日，GitHub 發(fā)布公告承認(rèn)了該漏洞，并分配了CVE編號CVE-2020-15228，但稱該漏洞實際上中危漏洞。

10月12日，谷歌 Project Zero 研究人員聯(lián)系了GitHub，并主動提出將漏洞公開的時間延長14天，并詢問是否需要需要更多的時間來禁用有漏洞的命令。

GitHub 接受了將漏洞公開的時間延遲14天，并預(yù)計于10月19日之后禁用有漏洞的命令。因此，谷歌 Project Zero將漏洞公開時間定于11月2日。

10月28日，由于GitHub沒有修復(fù)漏洞，谷歌 Project Zero 再次聯(lián)系GitHub稱距離漏洞公開的時間不足一周，但是未得到GitHub 回應(yīng)。由于未收到GitHub 官方回應(yīng)，Project Zero 聯(lián)系了非官方人員得到回應(yīng)稱該漏洞將被修復(fù)，Project Zero可以按照計劃的11月2日公開漏洞。

11月1日，GitHub給出官方回應(yīng)，但稱無法在11月2日禁用有漏洞的命令，并請求額外的2天時間來通知用戶該漏洞的相關(guān)信息，但這2天并不是修復(fù)漏洞的時間，也沒有給出明確的漏洞修復(fù)時間。

因此，11月2日，Project Zero 按照計劃公開了該漏洞。

本文翻譯自：

https://www.zdnet.com/article/google-to-github-times-up-this-unfixed-high-severity-security-bug-affects-developers/